任務1安裝路由和遠程訪問服務

任務2配置和測試NAT客戶機

任務3外部網絡主機訪問內部Web服務器項目背景某公司采用實名認證上網，認證軟件只限本人在一臺計算機上進行認證。但需要上網的設備比較多，如手機、平板電腦以及多臺計算機，現在只需要共享一個公用IP地址，就可以同時連接Internet、瀏覽網頁與收發電子郵件。網絡管理員根據任務要求準備搭建NAT服務器，基本步驟如下：(1)安裝路由和遠程訪問服務。(2)配置和測試NAT客戶機。(3)設置外部網絡主機訪問內部Web服務器。(4)配置篩選器。(5)設置NAT客戶端。(6)配置DHCP分配器與DNS中繼代理。任務1安裝路由和遠程訪問服務該公司的網絡管理員通過WindowsServer2019中的“添加角色和功能向導”窗口來安裝NAT服務器角色，NAT服務器的局域網IP地址為28，InternetIP地址為32。一、NAT基礎知識隨著網絡技術的發展，接入Internet的計算機數量不斷增加，Internet中空閑的IP地址越來越少，IP地址資源越來越緊張。事實上，除了中國教育和科研計算機網(ChinaEducationandResearchNetwork，CERNET)外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網用戶，他們所能申請到的IP地址也不過只有幾個或十幾個。顯然，這么少的IP地址根本無法滿足網絡用戶的需求，于是人們使用了網絡地址轉換(networkaddresstranslation，NAT)技術。目前NAT技術有效地解決了此問題，使得私有網絡IP可以訪問外網。1.?NAT概述網絡地址轉換器NAT位于使用專用地址的Intranet和使用公用地址的Internet之間。從Intranet傳出的數據包由NAT將它們的專用地址轉換為公用地址。從Internet傳入的數據包由NAT將它們的公用地址轉換為專用地址。這樣在內網中計算機使用未注冊的專用IP地址，而在與外部網絡通信時使用注冊的公用IP地址，大大降低了連接成本。同時NAT也起到將內部網絡隱藏起來、保護內部網絡的作用，因為對外部用戶來說只有使用公用IP地址的NAT才是可見的。2.?NAT實現方式和技術背景NAT的實現方式有3種，即靜態轉換(staticNAT)、動態轉換(dynamicNAT)和端口多路復用(overload)。(1)靜態轉換是指將內部網絡的私有IP地址轉換為公有IP地址。IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。借助靜態轉換，可以實現外部網絡對內部網絡中某些特定設備的訪問。(2)動態轉換是指將內部網絡的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態轉換。動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少于網絡內部的計算機數量時，可以采用動態轉換的方式。(3)端口多路復用是指改變外出數據包的源端口并進行端口轉換，即端口地址轉換采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址來實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網絡內部的所有主機，有效避免來自Internet的攻擊。因此，目前網絡中應用最多的就是端口多路復用方式。要真正地了解NAT就必須先了解現在IP地址的適用情況。私有IP地址是指內部網絡或主機的IP地址，公有IP地址是指在因特網上全球唯一的IP地址。RFC1918為私有網絡預留出了如下3個IP地址塊：A類范圍：～55；B類范圍：～55；C類范圍：～55。上述3個范圍內的地址不會在因特網上被分配，因此可以不必向ISP或注冊中心申請而在公司或企業內部自由使用。隨著接入Internet的計算機的數量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。雖然NAT可以借助某些代理服務器來實現，但考慮到運算成本和網絡性能，很多時候都是由路由器實現的。3.?NAT的工作過程NAT地址轉換協議的工作過程主要有以下4個步驟。(1)客戶機將數據包發給運行NAT的計算機。(2)?NAT將數據包中的端口號和專用的IP地址換成它自己的端口號和公用的IP地址，然后將數據包發給外部網絡的目的主機，同時記錄一個跟蹤信息在映像表中，以便向客戶機發送回答信息。(3)外部網絡發送回答信息給NAT。(4)?NAT將所收到的數據包的端口號和公用IP地址轉換為客戶機的端口號和內部網絡使用的專用IP地址并轉發給客戶機。以上步驟對于網絡內部的主機和網絡外部的主機都是透明的，如同直接通信一樣，如圖12-1所示。擔當NAT的計算機有兩塊網卡，兩個IP地址。IP1為，IP2為。下面舉例來說明詳細步驟。(1)?用戶使用Web瀏覽器連接到位于的Web服務器，則用戶計算機將創建帶有下列信息的IP數據包。①

目標IP地址為；②

源IP地址為；③

目標端口為TCP端口80；④

源端口為TCP端口1350。(2)?IP數據包轉發到運行NAT的計算機上，它將傳出的數據包的IP地址轉換成下面的形式，再用自己的IP地址重新打包后轉發。①

目標IP地址為；②

源IP地址為；③

目標端口為TCP端口80；④

源端口為TCP端口2500。(3)?NAT協議在表中保留了(，TCP1350)到(，TCP2500)的映射，以便回傳。(4)轉發的數據包是通過Internet發送的。Web服務器響應通過NAT協議發回和接收。當接收時，數據包包含下面的公用IP地址信息。①

目標IP地址為；②

源IP地址為；③

目標端口為TCP端口2500；④

源端口為TCP端口80。(5)?NAT協議檢查轉換表，將公用IP地址映射到專用IP地址，并將數據包轉發給位于的計算機。轉發的數據包包含以下信息。①

目標IP地址為；②

源IP地址為；③

目標端口為TCP端口1350；④

源端口為TCP端口80。說明：對于來自NAT協議的傳出數據包，源IP地址(專用IP地址)被映射到ISP分配的地址(公用IP地址)，并且TCP/IP端口號也會被映射到不同的TCP/IP端口號。對于到NAT協議的傳入數據包，目標IP地址(公用IP地址)被映射到源IP地址(專用IP地址)，并且TCP/UDP端口號被重新映射回源TCP/UDP端口號。4.?NAT的適用場景NAT的適用場景主要有兩方面，一是公有IP地址不夠用，當企業只租用到了數量有限的公有IP，而內部由任意數量的客戶組成時，就不可能為內部每臺計算機都分配一個公有IP，這時就可以采用NAT技術，多個內部計算機在訪問Internet時使用同一個公網IP地址；二是當公司希望對內部計算機進行有效的安全保護時可以采用NAT技術，內部網絡中的所有計算機上網時受到路由器或服務器(防火墻)的保護，黑客與病毒的攻擊被阻擋在網絡出口設備上，大大提高了內部計算機的安全性。二、規劃部署NAT服務器在架設NAT服務器之前，我們需要了解NAT服務器配置實例的部署需求和實訓環境，本書使用VMwareWorkstation構建虛擬環境。1.項目規劃部署NAT服務器的網絡拓撲結構圖如圖12-2所示。2.部署需求(1)設置NAT服務器的TCP/IP屬性，手動指定IP地址、子網掩碼、默認網關和DNS服務器IP地址等；(2)部署域環境，域名為。3.部署環境所有實例都被部署在網絡環境下。其中，NAT服務器主機名為“WIN2019-1”，該NAT服務器連接內部局域網網卡(LAN)的IP地址為28/24，連接外部網絡網卡(Internet)的IP地址為32/24；NAT客戶端主機名為WIN2019-2，其IP地址為42/24；內部Web服務器主機名為Server1，IP地址為51/24；Internet上的Web服務器主機名為WIN2019-3，IP地址為28/24。WIN2019-1、WIN2019-2、WIN2019-3、Server1可以是Hyper-V服務器的虛擬機，也可以是VMWare的虛擬機。特別提示：在VMWareWorkstation虛擬機中，WIN2019-1的內部網卡的連接方式采用VMnet1，WIN2019-1的外部網卡的連接方式采用VMnet8，WIN2019-2和Server1的網絡連接方式采用VMnet1，WIN2019-3的網絡連接方式采用VMnet8。一、安裝“路由和遠程訪問服務”角色服務(1)按照網絡拓撲圖配置計算機的IP地址等參數。(2)在計算機WIN2019-1上通過“服務器管理器”控制臺安裝路由和遠程訪問服務角色，具體步驟參見項目11中的任務1。注意，安裝的角色名稱是“遠程訪問”。二、配置并啟用NAT服務在計算機“WIN2019-1”上通過“路由和遠程訪問”控制臺配置并啟用NAT服務，具體步驟如下：(1)打開“路由和遠程訪問服務器安裝向導”對話框。以域管理員賬戶登錄到需要添加NAT服務的計算機WIN2019-1上，點擊“開始”→“Windows管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”控制臺。用鼠標右鍵單擊NAT服務器“WIN2019-1”，在彈出的快捷菜單中選擇“禁用路由和遠程訪問”(清除VPN實驗的影響)。(2)選擇“網絡地址轉換(NAT)”選項。用鼠標右鍵單擊NAT服務器“WIN2019-1”，在彈出的快捷菜單中選擇“配置并啟用路由和遠程訪問”命令，打開“路由和遠程訪問服務器安裝向導”對話框，點擊“下一步”按鈕，出現“配置”窗口，在該窗口中可以配置NAT、VPN以及路由服務，在此選擇“網絡地址轉換(NAT)”選項，如圖12-3所示。(3)選擇連接到Internet的網絡接口。點擊“下一步”按鈕，出現“NATInternet連接”對話框，在該對話框中指定連接到Internet的網絡接口，即NAT服務器連接到外部網絡的網卡，選擇“使用此公共接口連接到Internet”單選框，并選擇接口為“Internet連接”，如圖12-4所示。(4)結束NAT配置。點擊“下一步”按鈕，出現“正在完成路由和遠程訪問服務器安裝向導”對話框，最后點擊“完成”按鈕即可完成NAT服務的配置和啟用。三、停止NAT服務可以使用“路由和遠程訪問”控制臺停止NAT服務，具體步驟如下：(1)以域管理員賬戶登錄到NAT服務器上，打開“路由和遠程訪問”控制臺，NAT服務啟用后顯示綠色向上標識箭頭。(2)用鼠標右鍵單擊服務器，在彈出的快捷菜單中選擇“所有任務”→“停止”命令，停止NAT服務。(3)?NAT服務停止以后，顯示紅色向下標識箭頭，表示NAT服務已停止。四、禁用NAT服務要禁用NAT服務，可以使用“路由和遠程訪問”控制臺，具體步驟如下：(1)以域管理員登錄到NAT服務器上，打開“路由和遠程訪問”控制臺，用鼠標右鍵單擊服務器，在彈出的快捷菜單中選擇“禁用路由和遠程訪問”命令。(2)彈出“禁用NAT服務警告信息”界面。該信息表示禁用NAT服務后要重新啟用路由器，需要重新配置。(3)禁用NAT服務后，顯示紅色向下標識的箭頭。任務2配置和測試NAT客戶機該公司的網絡管理員通過WindowsServer2019中的“添加角色和功能向導”窗口安裝NAT服務器角色，配置NAT客戶端計算機，并測試內部網絡和外部網絡計算機之間的連通性。局域網NAT客戶端只要修改TCP/IP的設置即可。可以選擇以下兩種設置方式：(1)自動獲得TCP/IP。此時客戶端會自動向NAT服務器或DHCP服務器來索取IP地址、默認網關、DNS服務器的IP地址等。(2)手動設置TCP/IP。手動設置IP地址要求客戶端的IP地址必須與NAT局域網接口的IP地址在相同的網段內，也就是NetworkID必須相同。默認網關必須設置為NAT局域網接口的IP地址，本例中為28。首選DNS服務器可以設置為NAT局域網接口的IP地址，或是任何一臺合法的DNS服務器的IP地址。設置完成后，客戶端的用戶只要上網、收發電子郵件、連接FTP服務器等，NAT就會自動通過PPPoE請求撥號來連接Internet。一、設置NAT客戶端計算機網關地址以域管理員賬戶登錄NAT客戶端計算機WIN2019-2上，打開“Internet協議版本4(TCP/IPv4)屬性”對話框。設置“默認網關”的IP地址為NAT服務器的內網網卡(LAN)的IP地址，在此輸入“28”，如圖12-5所示。最后點擊“確定”按鈕即可。二、測試內部網絡NAT客戶端與外部網絡計算機的連通性在NAT客戶端計算機WIN2019-2上打開“命令提示符”窗口，測試與Internet上的Web服務器(WIN2019-3)的連通性。輸入命令“ping28”，如圖12-6所示，顯示能連通。三、測試外部網絡計算機與NAT服務器、內部網絡的NAT客戶端的連通性以本地管理員賬戶登錄到外部網絡計算機(WIN2019-3)上，打開“命令提示符”窗口，依次使用命令“ping32”“ping28”“ping42”“ping51”，測試外部網絡計算機(WIN2019-3)與NAT服務器的外網卡、內網卡以及內部網絡的NAT客戶端的連通性，如圖12-7所示。任務3外部網絡主機訪問內部Web服務器若要讓外部網絡的計算機“WIN2019-3”訪問內部Web服務器Server1，應在IE瀏覽器的地址欄輸入32，將會打開內部網絡的計算機Server1上的Web網站。一、網絡地址端口轉換用于NAT的公網地址就一個，內網計算機使用此公網訪問Internet，出去的數據包要替換源IP和源端口，在路由器上有一張表用于記錄端口地址轉換。二、地址池在用戶開啟了DHCP服務后，可以設置一個開始的IP地址與結束的IP地址，由此構成了一個地址池。地址池中的地址可以動態地分配給網絡中的客戶機使用。三、服務和端口服務和端口是一一對應的關系，相互依賴。沒有服務運行也就無所謂端口，端口的開啟和關閉也就是軟件服務的啟動和關閉。例如，常見的端口80默認運行的是www服務，端口53默認運行的是DNS服務。一、在Server1上安裝Web服務器如何在Server1上安裝Web服務器，請參考項目9。二、計算機Server1配置成NAT客戶端以域管理員賬戶登錄NAT客戶端計算機Server1上，打開“Internet協議版本4(TCP/IPv4)屬性”對話框。設置“默認網關”的IP地址為NAT服務器的內網網卡(LAN)的IP地址，在此輸入“28”，如圖12-8所示，最后點擊“確定”按鈕即可。注意

使用端口映射等功能時，一定要將內部網絡的計算機配置成NAT客戶機。三、設置端口地址轉換(1)以域管理員賬戶登錄到NAT服務器上，打開“路由和遠程訪問”控制臺，依次展開服務器“WIN2019-1”和“IPv4”節點，點擊“NAT”，在控制臺右側界面中，用鼠標右鍵單擊NAT服務器的外網網卡“Internet連接”，在彈出的快捷菜單中選擇“屬性”選項，如圖12-9所示，打開“Internet連接屬性”對話框。(2)在打開的“Internet連接屬性”對話框中，選擇如圖12-10所示的“服務和端口”選項卡，在此可以設置將Internet用戶重定向到內部網絡上的服務。(3)選擇“服務”列表中的“Web服務器(HTTP)”復選框，打開“編輯服務”對話框，在“專用地址”文本框中輸入安裝Web服務器的內部網絡的計算機的IP地址，在此輸入“51”，如圖12-11所示，最后點擊“確定”按鈕。(4)返回“服務和端口”選項卡，可以看到已經選擇了“Web服務器(HTTP)”復選框，點擊“確定”按鈕可完成端口地址轉換的設置。四、從外部網絡訪問內部Web服務器(1)以域管理員賬戶登錄到外部網絡的計算機WIN2019-3上。(2)打開IE瀏覽器，輸入32，打開內部網絡計算機Server1上的Web網站，如圖12-12所示。注意32是NAT服務器外部網卡的IP地址。五、在NAT服務器上查看地址轉換信息(1)以域管理員賬戶登錄到NAT服務器WIN2019-1上，打開“路由和遠程訪問”控制臺，依次展開服務器“WIN2019-1”和“IPv4”節點，點擊“NAT”，在控制臺右側界面中顯示NAT服務器正在使用的連接內部網絡的網絡接口。(2)用鼠標右鍵單擊“Internet連接”，在彈出的快捷菜單中選擇“顯示映射”命令，打開如圖12-13所示的“WIN2019-1-網絡地址轉換會話映射表格”窗口。該窗口信息表示外部網絡計算機“28”訪問到內部網絡計算機“51”的Web服務，NAT服務器將NAT服務器外網卡IP地址“32”轉換成了內部網絡計算機IP地址“51”。六、配置篩選器數據包篩選器用于過濾IP數據包。數據包篩選器分為入站篩選器和出站篩選器，分別對應接收到的數據包和發出去的數據包。對于某一個接口而言，入站數據包指的是從此接口接收到的數據包，而不詢問此數據包的源IP地址和目的IP地址；出站數據包指的是從此接口發出的數據包，而不詢問此數據包的源IP地址和目的IP地址。可以在入站篩選器和出站篩選器中定義NAT服務器，在配置數據包篩選器時，可以允許所有不匹配篩選器設置的數據包通過，即允許所有未被特定規則匹配的數據包通過。對于沒有允許的數據包，NAT服務器默認將丟棄此數據包。七、配置DHCP分配器與DNS代理DHCP分配器(DHCPallocator)：用來分配IP地址給內部的局域網客戶端計算機。DNS代理(DNSproxy)：可以替局域網內的計算機來查詢IP地址。1.配置DHCP分配器DHCP分配器扮演著類似DHCP服務器的角色，用來給內部網絡的客戶端分配IP地址。修改DHCP分配器設置的方法：如圖12-11所示，展開“IPv4”，用鼠標右鍵單